9
SPF und Spamfilter-Dienstleister
Hallo zusammen,
wie funktioniert es, wenn ich zb ein spamdienstleister habe der auch im DNS mein MX ist und nun möchte mir jemand mit der domäne abc.de eine mail senden.
dieser jemand hat nun ein spf wo drin steht, dass nur seine mx senden dürfen, der rest steht auf -all.
wenn er mir nun eine mail sendet, dann kriegt die ja erstmal mein spamdienstleister der mir diese dann übergeben möchte.
nun möchte ja mein MTA checken, ob der MTA vom dienstleister im SPF von der domäne abc.de drin ist und stellt fest, nein das ist er nicht und blockt die nun per default mit
dem smtp-fehlercode 550.
wer müsste hier was umstellen, damit ich mails empfangen kann von domäne abc.de?
das einzige was mir einfällt ist, dass der postmaster von der domäne den spf auf ~all stellen müsste, aber dass kann es ja auch nicht sein.
was wäre die lösung?
danke und lg
wie funktioniert es, wenn ich zb ein spamdienstleister habe der auch im DNS mein MX ist und nun möchte mir jemand mit der domäne abc.de eine mail senden.
dieser jemand hat nun ein spf wo drin steht, dass nur seine mx senden dürfen, der rest steht auf -all.
wenn er mir nun eine mail sendet, dann kriegt die ja erstmal mein spamdienstleister der mir diese dann übergeben möchte.
nun möchte ja mein MTA checken, ob der MTA vom dienstleister im SPF von der domäne abc.de drin ist und stellt fest, nein das ist er nicht und blockt die nun per default mit
dem smtp-fehlercode 550.
wer müsste hier was umstellen, damit ich mails empfangen kann von domäne abc.de?
das einzige was mir einfällt ist, dass der postmaster von der domäne den spf auf ~all stellen müsste, aber dass kann es ja auch nicht sein.
was wäre die lösung?
danke und lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 436043
Url: https://administrator.de/contentid/436043
Ausgedruckt am: 28.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Anpassen musst du 
Du musst die Mailserver deines Spamdienstleisters auf deinen Systemen whitelisten und möglichst alle Prüfungen auf deiner Seite ausschalten, die gegen die IP-Adresse des einliefernden Servers prüfen.
Ab dem Moment, wo dein Spamdienstleister alle Mails annimmt, musst du einfach darauf vertrauen, dass er seinen Job macht und Dinge wie SPF bereits geprüft sind, sobald die Mails bei dir ankommen.
Alles, was Remote-IP-Fokussiert arbeitet, wie SPF und DNSBLs sind Dinge, die nur der Front-MTA prüfen kann - und das bist du ja in dem Moment nicht mehr.
Du musst die Mailserver deines Spamdienstleisters auf deinen Systemen whitelisten und möglichst alle Prüfungen auf deiner Seite ausschalten, die gegen die IP-Adresse des einliefernden Servers prüfen.
Ab dem Moment, wo dein Spamdienstleister alle Mails annimmt, musst du einfach darauf vertrauen, dass er seinen Job macht und Dinge wie SPF bereits geprüft sind, sobald die Mails bei dir ankommen.
Alles, was Remote-IP-Fokussiert arbeitet, wie SPF und DNSBLs sind Dinge, die nur der Front-MTA prüfen kann - und das bist du ja in dem Moment nicht mehr.
1
du meinst, dass wenn ich aus welchen gründen auch immer nochmal den spf checken möchte, eine ausnahme im spf-deamon einrichten muss, sodass dem davorliegenden MTA vom dienstleister immer vertraut wird?
aber ja, du hast da recht, wenn dann müsste es mein dienstleister machen und ich müsste ihm da vertrauen (nachdem ich das getestet habe)
lg
aber ja, du hast da recht, wenn dann müsste es mein dienstleister machen und ich müsste ihm da vertrauen (nachdem ich das getestet habe)
lg
Daß Du Deinen Mailserver ordentlich konfugurierst, damit er die Mails von Deinem Dienstleister auch annimmt.
lks
mööp falsch.
in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.
lg
in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.
lg
Du kannst es aber nicht ordentlich testen, weil du die IP-Adresse des einliefernden Servers nicht hast.
Du könntest basierend auf Received-Headern prüfen — aber da du nicht weißt, wie viele Hops die Mail im internen Netz des Dienstleisters zurückgelegt hat, kannst du auch nicht sicher den Header bestimmen, dem du vertraust.
Es bleibt dabei: Dein Dienstleister muss alle IP-Basierten Prüfungen machen und du darfst es nicht tun.
Du könntest basierend auf Received-Headern prüfen — aber da du nicht weißt, wie viele Hops die Mail im internen Netz des Dienstleisters zurückgelegt hat, kannst du auch nicht sicher den Header bestimmen, dem du vertraust.
Es bleibt dabei: Dein Dienstleister muss alle IP-Basierten Prüfungen machen und du darfst es nicht tun.
Ich kann ja von einem externen MTA testen. Das ist kein Problem.
Zitat von @WinLiCLI:
mööp falsch.
in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.
mööp falsch.
in dem fall würde man die gateways vom provider ordentlich konfigurieren müssen.
Nein, Du mußt Deinen MTA konfigurieren, daß er Mails von Deinem SPAM-Dienstleister annimmt, die von einem anderen Absender kommen.
Natürlich könntest Du natürlich in deinem MTA noch einen Filter installieren, der aufgrund der Received-Header prüft, ob der SPF vom ursprünglichen Absender stimmt.
lks
Ich muss auf meinem MTA nichts konfigurieren, da er per default schon alles annimmt. Den müsste ich dann erst konfigurieren, wenn ich spf checks selbst machen möchte, was aber meiner Meinung nach mittlerweile totaler Unfug ist, da durch den MX (normalerweise) immer die Mail über meinen spamdienstleister kommen müsste.
Dann ist doch alles gut
Bleibe bei dieser Konfiguration und konfiguriere nötigenfalls Firewall-Regeln, welche nur die IP-Netze deines Dienstleisters durchlassen - damit nicht irgendwelche Bots direkt an deine IP irgendwas zuzustellen versuchen.
Aber selbst das ist optional.
Bleibe bei dieser Konfiguration und konfiguriere nötigenfalls Firewall-Regeln, welche nur die IP-Netze deines Dienstleisters durchlassen - damit nicht irgendwelche Bots direkt an deine IP irgendwas zuzustellen versuchen.
Aber selbst das ist optional.
